الرئيسية / أخبار تقنية / هاكر يخترق تطبيق Tchap للمراسلة الآمنة من قبل الحكومة الفرنسية

هاكر يخترق تطبيق Tchap للمراسلة الآمنة من قبل الحكومة الفرنسية

اكتشف أحد المتسللين من ذوي القبعة البيضاء طريقة للدخول إلى تطبيق الرسائل المشفرة الذي تم إطلاقه مؤخرًا من قبل الحكومة الفرنسية والذي لم يكن من الممكن الوصول إليه إلا من قبل المسؤولين والسياسيين الذين لديهم حسابات بريد إلكتروني مرتبطة بهويات الحكومة.

 الحكومة الفرنسية التي أطلق عليها اسم “Tchap” وهي تطبيق مشفر ومفتوح المصدر للرسائل مفتوحة المصدر بهدف إبقاء بيانات المسؤولين والبرلمانيين والوزراء على الخوادم داخل الدولة بسبب المخاوف من إمكانية استخدام الوكالات الأجنبية لخدمات أخرى  للتجسس على اتصالاتهم.

تم تصميم تطبيق Tchap باستخدام برنامج Riot client وهو برنامج مراسلة فورية مفتوح المصدر يقوم بتطبيق بروتوكول Matrix الذاتي الاستضافة للاتصال المشفر من طرف إلى طرف.

وكانت كلًا من “Riot و Matrix” موجودة في الأخبار في وقت سابق من هذا الأسبوع بعد اختراق أحد المتطفلين غير المعروفين لخوادمه وسرقة الرسائل الخاصة غير المشفرة بنجاح وتجزئة كلمات المرور ورموز الوصول ومفاتيح GPG التي استخدمها مشرفو المشروع لتوقيع حزم.

كان الهجوم السيبراني على Matrix خطيرًا لدرجة أنه أجبر مشرفيه في نهاية المطاف على إغلاق البنية التحتية للإنتاج بأكملها للخدمة لعدة ساعات وتسجيل جميع المستخدمين من ⁦Matrix.org⁩.

على الرغم من أن تطبيق Tchap متاح على متجر جوجل بلاي ويمكن تنزيله بواسطة أي شخص إلا أن المستخدمين الذين لديهم حساب بريد إلكتروني صادر عن الحكومة على سبيل المثال @ ⁦gouv.fr⁩ أو @ ⁦elysee.fr⁩ هم الوحيدون الذين يمكنهم الاشتراك و الوصول إليه.

ومع ذلك وجد روبرت باتيست باحث الأمن الفرنسي المعروف باسمه على تويتر Elliot Alderson ثغرة أمنية قد تسمح لأي شخص بالتسجيل في حساب مع تطبيق Tchap والوصول إلى المجموعات والقنوات دون الحاجة إلى عنوان بريد إلكتروني رسمي.

وفي أحد التدوينات المنشورة اليوم أوضح روبرت كيف أنه كان قادرًا على إنشاء حساب مع الخدمة باستخدام معرف بريد إلكتروني منتظم عن طريق استغلال خلل محتمل في التحقق من صحة البريد الإلكتروني في تطبيق أندرويد الخاص بـ Tchap.

“لقد عدلت البريد الإلكتروني إلى fs0c131y @ ⁦protonmail.com⁩ @ presidence @ ⁦elysee.fr⁩. Bingo! وتلقيت رسالة بريد إلكتروني من Tchap وكنت قادراً على التحقق من صحة حسابي!” وايضًا قمت بتسجيل الدخول كموظف في Elysée وتمكنت من الوصول إلى الغرف العامة.”

واخيرًا قام روبرت بإخطار فريق ماتريكس بالنتائج التي توصل إليها والذي أصدر تحديثًا سريعًا لإصلاح المشكلة والتي كانت محددة فقط لنشر مصفوفة DINSIC.

عن فدوى

شاهد أيضاً

الدولة الألمانية تحظر Office 365 في المدارس مشيرة إلى مخاوف الخصوصية

لن تتمكن المدارس في ولاية هيس الألمانية من استخدام Microsoft Office 365 بفضل قواعد الناتج …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *